検出されたランサムウェアに関するアラートに対応
BlueXPのランサムウェア対策で攻撃の可能性が検出されると、BlueXPのランサムウェア対策ダッシュボードと右上のBlueXP通知にランサムウェア攻撃の可能性を示すアラートが表示されます。また、サービスはすぐにSnapshotコピーの作成を開始します。この時点で、BlueXPのランサムウェア対策*アラート*タブで潜在的なリスクを確認する必要があります。
データのリカバリを開始するには、ストレージ管理者がリカバリプロセスを開始できるように、アラートをリカバリ準備完了としてマークします。
各アラートには、ステータスが異なるボリューム上に複数のインシデントが存在する可能性があるため、すべてのインシデントを確認してください。
このサービスは、アラートが発行された原因に関する_evidence_という情報を提供します。これには、次のような情報が含まれます。
-
ファイル拡張子が作成または変更された場合
-
ファイルの作成が発生し、表示された割合で増加しました。
-
ファイル削除が発生し、表示された割合で増加した
アラートは、次のタイプの動作に基づいています。
-
攻撃の可能性:Autonomous Ransomware Protectionが新しい拡張子を検出し、過去24時間に20回以上繰り返した場合にアラートが発生します(デフォルトの動作)。
-
警告:次の動作に基づいて警告が発生します。
-
新しい拡張の検出はこれまでに特定されておらず、同じ動作が攻撃であると宣言するのに十分な回数繰り返されません。
-
高エントロピーが観測される。
-
ファイルの読み取り/書き込み/名前変更/削除処理で、ベースラインを超えるアクティビティが100%急増しました。
-
証拠は、ONTAPの自律型ランサムウェア対策の情報に基づいています。詳細については、を参照してください "Autonomous Ransomware Protection Overview"。
アラートを表示します
アラートには、BlueXPランサムウェア対策ダッシュボードまたは*[アラート]*タブからアクセスできます。
-
BlueXPランサムウェア対策ダッシュボードで、[Alerts]ペインを確認します。
-
いずれかの彫像の下にある*すべて表示*を選択します。
-
アラートをクリックすると、各アラートの各ボリュームのすべてのインシデントを確認できます。
-
その他のアラートを確認するには、左上のパンくずリストにある* Alert *をクリックします。
-
[Alerts]ページでアラートを確認します。
ページ"]
ランサムウェアのインシデントをリカバリ準備完了としてマーク(インシデントが無力化された後)
攻撃を軽減し、ワークロードをリカバリできる状態になったら、ストレージ管理チームにデータのリカバリ準備ができていることを伝え、リカバリプロセスを開始できるようにします。
-
BlueXPのランサムウェア対策メニューから、*アラート*を選択します。
ページ"]
-
[アラート]ページで、アラートを選択します。
-
アラートのインシデントを確認します。
-
インシデントをリカバリする準備ができていると判断した場合は、*[リストアが必要であることをマークする]*を選択します。
-
操作を確認し、*[リストアが必要なマークを付ける]*を選択します。
-
ワークロードのリカバリを開始するには、メッセージで*ワークロードを選択するか、[リカバリ]*タブを選択します。
アラートがリカバリ対象としてマークされると、アラートは[Alerts]タブから[Recovery]タブに移動します。